Protéger les chemins d'accès aux données d'une organisation

Partout dans le monde, des entreprises de toutes tailles et de tous les secteurs subissent une forme ou une autre d'informatique. transformation. En fait, les entreprises ont accéléré de trois à quatre ans la numérisation de leurs opérations commerciales internes et externes depuis qu'une pandémie a bouleversé le monde. Bien que COVID-19 puisse être considéré comme un accélérateur majeur de ce changement, les dirigeants d'entreprise reconnaissent également l'importance stratégique d'intégrer la technologie dans l'ensemble de leur entreprise.

Pour beaucoup, la transformation sera motivée par l'adoption de logiciels commerciaux tiers déployés en interne, d'applications SaaS (Software-as-a-Service) qui hébergent des données sensibles et de bibliothèques tierces open source. qui sont utilisés pour créer des logiciels. Bien que l'introduction de la technologie moderne soit un signe de progrès nécessaires, les entreprises ne doivent pas négliger les risques de sécurité potentiels qui accompagnent toutes ces innovations. La prépondérance des chaînes d'approvisionnement de logiciels exposera les entreprises sans méfiance de manières nouvelles et complexes, repoussant les limites des défenses de sécurité traditionnelles.

Des chaînes d'approvisionnement logicielles vulnérables ont même attiré l'attention du gouvernement américain, confirmant l'urgence de ce risque croissant de cybersécurité. En mai, les chefs de gouvernement ont fait le premier pas vers une lutte proactive contre les menaces potentielles qui se cachent dans un écosystème croissant de dépendances tierces. Le décret exécutif 14028 décrit un plan appelant le gouvernement « à apporter des changements audacieux et des investissements importants afin de défendre les institutions vitales qui sous-tendent le mode de vie américain ». L'E.O. met particulièrement l'accent sur la sécurité des logiciels critiques » qui, selon le gouvernement, « manque de transparence, de concentration suffisante sur la capacité du logiciel à résister aux attaques et de contrôles adéquats pour empêcher la falsification par des acteurs malveillants. »

Le National Institute of Standards and Technology (NIST) a décrit les mesures de sécurité pour protéger les logiciels critiques, en mettant l'accent sur les défenses nécessaires pour protéger les données, et pas seulement les systèmes et le réseau qui les entourent. Cette approche, qui se concentre sur la protection des données et de tous les chemins d'accès, reconnaît le problème insoluble des applications logicielles et des bibliothèques tierces qui ont un accès direct aux données sensibles. Comme en témoignent les attaques réussies menées au cours des derniers mois, les entreprises doivent tenir compte du fournisseur d'un fournisseur ou du logiciel tiers qui sous-tend leurs applications et interfaces si nous voulons vraiment atténuer la menace des attaques de la chaîne d'approvisionnement logicielle.

Un écosystème complexe

Historiquement, les entreprises se sont concentrées sur le risque introduit par leur ensemble immédiat de fournisseurs et les logiciels critiques sur lesquels ils s'appuient. Cette posture ne suffit plus, car I.T. la transformation repousse les limites du réseau traditionnel et rend les contrôles hérités moins efficaces.

Bien qu'une entreprise puisse avoir mis en place les bons contrôles de sécurité, cela ne signifie pas que ses fournisseurs tout au long de la chaîne d'approvisionnement en logiciels le font. La stratégie de sécurité ne peut plus reposer sur une confiance totale de l'écosystème, même des partenaires et des fournisseurs. L'expansion de la chaîne d'approvisionnement des logiciels, ainsi que la complexité des applications modernes, signifient que les vulnérabilités seront introduites à une plus grande vitesse. Pour aider à faire face à l'ampleur croissante des attaques au cours du cycle de vie du développement logiciel, les organisations doivent adopter un modèle de menace qui inclut toutes les parties de la chaîne d'approvisionnement, y compris le code nth-party.

Les applications modernes sont alimentées par un écosystème complexe d'interfaces de programmation d'applications (API), de microservices et de fonctions sans serveur. Avec des charges de travail plus éphémères et des architectures distribuées, il n'y a pas de solution miracle pour l'analyse logicielle de pré-production. Même dans le cycle de vie de développement logiciel (SDLC) le plus rigoureux, la complexité du développement signifie que des vulnérabilités seront introduites. C'est encore une fois pourquoi la protection de tous les chemins d'accès aux données doit être la stratégie fondamentale des organisations.

S'attaquer au problème de front

Comme en témoignent les attaques antérieures de la chaîne d'approvisionnement logicielle, les personnes malveillantes manœuvrent furtivement au sein de la chaîne d'approvisionnement logicielle en exploitant la vulnérabilité d'une connexion logicielle tierce, l'utilisant pour se déplacer latéralement et finalement accéder aux données de la cible.

La sécurité des applications Web doit évoluer et se concentrer davantage sur l'identification du comportement des applications d'exécution, par exemple si le code tiers est responsable d'actions indésirables. Ce n'est qu'en bloquant les comportements inattendus que l'on peut empêcher de nouveaux comportements d'attaque. Cela sera essentiel car l'informatique d'entreprise. évolue vers des environnements d'applications modernes et diversifiés.

Les outils d'analyse d'applications sont excellents, mais il est peu probable qu'ils identifient les logiciels tiers compromis intégrés dans les applications. Les outils de périmètre peuvent être trompés par un trafic apparemment inoffensif provenant des applications jusqu'à ce que les signatures soient publiées. Enfin, alors que de nombreuses entreprises déploient la sécurité des terminaux, cette technologie est souvent aveugle aux attaques d'applications, car elles ont rarement besoin de toucher les appareils des utilisateurs au début.

Au lieu de cela, les entreprises doivent déployer l'autoprotection des applications d'exécution (RASP) pour détecter et empêcher les attaques en temps réel et à partir d'une application. Cette technologie, recommandée dans NIST SP 800-53 Révision 5, peut localiser les attaques jusqu'à une ligne de code exacte et arrêter automatiquement l'exploitation d'une vulnérabilité, donnant aux organisations le temps nécessaire pour corriger les vulnérabilités selon leur propre calendrier.

Pour permettre l'innovation et maintenir un avantage concurrentiel, les organisations devront moderniser leurs opérations. Une grande partie de cette transformation dépendra d'applications et de services tiers.

Cependant, les vulnérabilités des logiciels et des applications sont des problèmes de sécurité fondamentaux et les entreprises doivent en prendre note. À ce titre, ils doivent mettre l'accent sur leurs défenses, en particulier les API qui sous-tendent leur transformation numérique.

Les attaquants trouvant des moyens furtifs d'échapper aux défenses et d'accéder aux données sous-jacentes, il est essentiel que les bons contrôles soient en place et que les outils appropriés soient utilisés pour véritablement protéger les données et tous leurs chemins.

Peter Klimek est directeur de la technologie, Bureau du CTO, chez Imperva.